Есть ли рекомендации для поваренная соль длина в записях NSEC3? Означает ли более длительное использование соли лучшую безопасность и влияет ли большее количество соли на производительность (полномочных) серверов?
Практика работы DNSSEC не упоминайте длину соли.
Глядя на TLD со списком DNSSEC, Я вижу, что .COM использует соль нулевой длины (без соли), в то время как некоторые TLD используют соли длиной 16 байт. Есть причина?
Соль предназначена для предотвращения атак по заранее вычисленному словарю. Однако, как упоминалось в этот проверка безопасности, соль на самом деле не обеспечивает дополнительной безопасности, потому что соль общедоступна через NSEC3PARAMS запись. Поскольку в хэшах NSEC3 используется полное имя, на самом деле даже нет риска глобально полезной атаки типа радужной таблицы, поэтому вы можете выбирать свой хэш произвольно.
Если злоумышленник совершит маловероятную коллизию хэша NSEC3, необходимо будет изменить соль, чтобы устранить коллизию.
EDIT: RFC 5155 дает рекомендации:
Соль ДОЛЖНА иметь длину не менее 64 бита и быть непредсказуемой, чтобы
злоумышленник не может предвидеть ценность соли и вычислить
следующий набор словарей перед публикацией зоны.